Se ha descubierto una vulnerabilidad crítica en el plugin de WordPress Burst Statistics, una herramienta de análisis enfocada en la privacidad. El fallo, identificado como CVE-2026-8181 y detectado el 8 de mayo de 2026 por la plataforma PRISM de Wordfence, expone a más de 200.000 sitios web al riesgo de que atacantes tomen el control total de las cuentas mediante el bypass de autenticación.

El plugin de WordPress Avada Builder, utilizado en más de un millón de sitios web, presenta dos vulnerabilidades graves. Según el investigador Rafie Muhammad, estos fallos podrían permitir que atacantes roben datos sensibles y accedan a archivos del servidor mediante inyecciones SQL y lectura de archivos. Se advierte que los sitios que no apliquen los parches de seguridad podrían ser explotados activamente.

Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que permite a atacantes inyectar código JavaScript malicioso en las páginas de pago de WooCommerce. El objetivo es robar datos de tarjetas de crédito y direcciones de facturación mediante scripts disfrazados de Google Tag Manager. Se recomienda actualizar el plugin a la versión 3.15.0.3 y revisar los scripts externos configurados.

Están explotando una vulnerabilidad crítica (CVE-2026-8181) en el plugin de WordPress Burst Statistics, que permite obtener acceso de administrador sin contraseña. Este fallo afecta a las versiones 3.4.0 y 3.4.1, permitiendo la creación de cuentas fraudulentas y el robo de datos. Se recomienda actualizar urgentemente a la **versión 3.4.2** o desactivar el plugin para evitar ataques.

Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que permite a atacantes inyectar código malicioso en las páginas de pago de WooCommerce para robar datos de tarjetas y clientes. El fallo afecta a versiones anteriores a la 3.15.0.3 y puede ser explotado sin autenticación. Se recomienda actualizar el plugin inmediatamente y revisar la configuración de "External Scripts" para eliminar cualquier código sospechoso.

Se han detectado dos vulnerabilidades críticas en el plugin Avada Builder de WordPress que afectan a cerca de un millón de sitios. La primera permite a usuarios autenticados leer archivos sensibles del servidor, mientras que la segunda es una inyección SQL que permite extraer datos de la base de datos sin autenticación. Se recomienda a los administradores actualizar urgentemente a la versión 3.15.3 para solucionar estos fallos.

El Centro de Ciberseguridad de Australia (ACSC) advierte sobre una campaña de malware que utiliza la técnica "ClickFix" para distribuir el software espía **Vidar Stealer**. Los atacantes usan sitios de WordPress comprometidos y falsos CAPTCHAs para engañar a los usuarios y lograr que ejecuten comandos maliciosos de PowerShell. Se recomienda restringir el uso de PowerShell, mantener actualizados los plugins de WordPress y aplicar listas de aplicaciones permitidas.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

Se detectó la explotación activa de la vulnerabilidad CVE-2026-0740 (CVSS 9.8) en el plugin Ninja Forms File Uploads para WordPress, permitiendo subida arbitraria de archivos sin autenticación y posible ejecución remota de código (RCE), poniendo en riesgo miles de sitios.

Una grave falla de seguridad en el popular plugin de WordPress Ninja Forms – File Upload ha dejado aproximadamente 50.000 sitios web vulnerables a una toma de control completa. Registrada como CVE-2026-0740, esta vulnerabilidad tiene una puntuación de gravedad CVSS máxima de 9.8, lo que la convierte en una amenaza severa que requiere atención inmediata por parte de los administradores de sitios web.

Se ha revelado una falla de seguridad de alta gravedad en Smart Slider 3, uno de los plugins de creación de sliders más utilizados en WordPress. Con más de 800.000 instalaciones activas, esta vulnerabilidad deja expuestos a un enorme número de sitios web al riesgo de robo de datos sensibles. Registrada como CVE-2026-3098, esta falla de severidad media permite a atacantes con permisos mínimos acceder y descargar información altamente confidencial 

Un actor de amenazas conocido como GrayCharlie ha estado comprometiendo sitios web de WordPress desde mediados de 2023, insertando silenciosamente JavaScript malicioso para distribuir malware a los usuarios que los visitan. El grupo tiene coincidencias con el clúster previamente rastreado como SmartApeSG, también llamado ZPHP o HANEMONEY. 

Una vulnerabilidad crítica en el plugin de WordPress WPvivid Backup & Migration puede permitir que un atacante no autenticado suba archivos y ejecute código en el servidor, un camino que suele terminar en la toma completa del sitio. El fallo está registrado como CVE-2026-1357, con una puntuación de 9.8 (Crítico), y afecta a las versiones del plugin hasta la 0.9.123 incluida, 

Se ha descubierto una vulnerabilidad crítica de puerta trasera en el plugin LA-Studio Element Kit para Elementor, un complemento popular de WordPress utilizado por más de 20.000 sitios activos. Esta falla de seguridad permite a los atacantes crear cuentas de administrador sin necesidad de autenticación, poniendo en riesgo de toma completa a miles de sitios web.

Un fallo crítico de seguridad en el popular plugin de WordPress Advanced Custom Fields: Extended ha puesto en riesgo más de 100.000 sitios web, exponiéndolos a una posible toma completa. La vulnerabilidad, identificada como CVE-2025-14533, afecta a las versiones del plugin hasta la 0.9.2.1 e incluye una puntuación CVSS de 9.8 (Crítica).

Una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin de WordPress Modular DS permite a los atacantes obtener acceso instantáneo de administrador, con explotación confirmada en la naturaleza. Afectando a más de 40.000 sitios, la falla en versiones hasta la 2.5.1 ha impulsado parches urgentes y mitigaciones por parte de Patchstack y el proveedor. Modular DS, desarrollado por modulards.com

Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica en el plugin Post SMTP instalado en más de 400.000 sitios de WordPress, para tomar el control total secuestrando cuentas de administrador.

 Investigadores de ciberseguridad están alertando sobre una campaña maliciosa dirigida a sitios de WordPress para realizar inyecciones de JavaScript diseñadas para redirigir a los usuarios a sitios sospechosos.

Una vulnerabilidad identificada como CVE-2025-5394, en el tema «Alone – Charity Multipurpose Non-profit WordPress Theme» está siendo activamente explotada por ciberdelincuentes. La vulnerabilidad, con una puntuación CVSS de 9.8 sobre 10, permite a atacantes no autenticados instalar plugins de forma remota y ejecutar código malicioso, comprometiendo por completo los sitios que utilizan dicho tema.

Actores de amenazas están explotando activamente una falla de seguridad crítica en Alone – Charity Multipurpose Non-profit WordPress Theme" para tomar controlar sitios vulnerables.